欢送大家围观小阑精心整顿的API平安最新资讯,在这里你能看到最业余、最前沿的API平安技术和产业资讯,咱们提供对于寰球API平安资讯与信息安全深度察看。
本周,咱们带来的分享如下:

  • 对于三个Argo CD API破绽的文章
  • Gartner对API平安的认识
  • 分布式标识是古代API平安的要害

对于三个Argo CD API破绽的文章
Argo CD是Kubernetes中最受欢迎和增长最快的GitOps工具。当遵循GitOps部署模式时,Argo CD能够轻松定义一组应用程序,它们在存储库中具备所需的状态以及它们应该部署的地位。部署后,Argo CD会继续监控状态,甚至能够捕获配置漂移。一篇由Security Boulevard提供的破绽文章,涵盖了Argo CD部署平台中的三个独立的API破绽。

第一个破绽 (CVE-2023-22736)是一个容许绕过受权的重大破绽。Argo CD软件中存在一个破绽,会使得歹意用户在没有失去受权的状况下,在零碎容许范畴外部署应用程序。这个破绽只影响启用了“任何命名空间中的应用程序”性能的用户,并且从2.5.0版本开始就存在。然而,当初Argo CD公布了2.5.8和2.6.0-rc5补丁来修复这个问题。如果您应用的是Argo CD,请及时降级到最新版本以爱护您的系统安全。
第二个破绽 (CVE-2023-22482)是由不当受权导致的重大问题。因为Argo CD在验证令牌时没有查看受众申明,导致攻击者能够应用有效的令牌来获取权限。如果您应用的OIDC提供商同时为其余用户提供服务,那么您的零碎将承受来自这些用户的令牌,并依据用户组权限授予对应的权限,这就十分危险了。该破绽影响所有从v1.8.2开始的Argo CD版本。
为了修复这个问题,Argo CD公布了版本2.6.0-rc5、2.5.8、2.4.20和2.3.14中的补丁,引入了一个新的性能——“容许受众”,容许用户指定他们想要容许的受众。如果您正在应用Argo CD,请尽快更新到最新版本并配置好“容许受众”,以爱护您的零碎。
第三个破绽(CVE-2023-25163)是Argo CD软件中的一个问题,会导致存储库拜访凭据泄露。这个破绽的重大水平中等,会在未能正确清理输入时,泄露敏感信息。此问题影响所有从v2.6.0-rc1开始的Argo CD版本。
如果您正在应用受影响的版本,倡议尽快降级到更新的版本来修复这个破绽,以爱护您的系统安全。最近的这些破绽再次强调了API安全性的重要性,也显示出公司必须高度关注爱护其API。
随着API在古代应用程序中的宽泛应用,攻击者越来越频繁地利用API破绽来入侵零碎。因而,爱护API曾经成为任何组织安全策略中的至关重要的一部分,须要采取安全措施和最佳实际来确保数据和零碎的平安。只有这样,能力保障企业在数字化时代取得最高程度的平安保障。

对于Gartner 对 API 平安的认识
Gartner副总裁分析师兼软件工程钻研主管Mark O'Neill对最近公布的第4份年度API现状报告的认识,该报告收集了来自 850多名寰球开发人员的意见。O'Neill的第一个察看后果是,组织在其资产中部署多个API网关(及多个云提供商)。
这使得API策略的集中管理成为一个简单的问题,因为分布式环境不足良好的联结治理解决方案。因而,团队不得不独立治理多个网关。O'Neill的第二个察看后果是,API治理和安全性因应用的API类型品种繁多而变得复杂,比方:REST、Webhooks、Websockets、SOAP、GraphQL、Kafka、AsyncAPI、gRPC。
从平安角度来看,特地值得注意的是GraphQL,它容许跨数据进行深刻且宽泛的查问,因而很难分辨要爱护什么数据。另外,GraphQL也是无状态显示的,因而平安团队必须正确施行身份验证和受权。在资产中部署多个API网关可能会带来以下毛病:

  • 复杂性减少:多个API网关的部署可能会导致系统复杂性的减少,包含配置、治理、监控和保护等方面的复杂性,这可能会减少治理工作量,并可能导致更多的故障和问题。
  • 安全性升高:多个API网关的部署可能会减少平安危险。对于每个API网关的保护和更新都须要进行独立的平安审计和更新,这可能会导致脱漏破绽或谬误配置的状况呈现,从而升高零碎的整体安全性。
  • 性能受影响:多个API网关的部署可能会导致性能升高,因为每个API网关都须要解决网络和访问控制等方面的开销,这可能会减少提早和资源耗费。
  • 难以保护:应用多个API网关也可能会使保护变得艰难,因为不同的API网关可能应用不同的技术和配置办法,这可能会导致凌乱和谬误的配置。

    O'Neill对API平安有以下倡议:
  • 确保管理者领有组织内API的最新清单,这包含上游和上游API以及外部和内部 API。
  • 采纳API规范(如凋谢银行打算)来改善整体平安情况。
    小阑解读,通过以下平安伎俩,能够改善进步零碎的性能、可用性和安全性:
  • 优化架构:通过进行零碎设计和架构优化,能够将多个API网关合并为一个更简略、更对立的API网关。这有利于升高复杂性、进步安全性、晋升性能,并且更易于治理和保护。
  • 集中管理:应用集中式API管理工具,能够缩小反复的配置和管理工作,以及对立审计和更新API网关。这样能够进步管理效率、升高出错率并增强整体安全性。
  • 实时监控:应用实时监控工具能够对所有API网关进行对立的监控和报告。这样能够疾速发现和解决问题,从而进步零碎的可用性和稳定性。
  • 强化平安:采取多层次的安全策略,包含防火墙、入侵检测、访问控制和数据加密等技术,能够加强零碎的整体安全性。
    此外,还能够应用齐备的平安审计和破绽扫描等伎俩,确保零碎的安全性失去全面保障。
    预计将来的API管理工具将会持续解决身份验证和受权方面的挑战,同时还会呈现API特定的“扫描和发现”工具。此外,平安工具还能够提供运行时爱护性能,微网关则能够在肯定水平上避免API攻打。换句话说,将来开发API时,须要应用一些专门的工具来解决波及身份验证、受权、平安等问题,从而进步API的安全性和可靠性。
    同时,通过应用这些特定的工具和技术,能够更好地发现和解决API中存在的安全漏洞或问题,确保API零碎稳固、牢靠、平安。

对于分布式标识是古代API平安的要害
来自Curity的分享,是一篇对于分布式标识的文章。

分布式标识的确是古代API平安的要害之一。其次要作用是为了确保API调用者的身份验证和受权。传统的单点登录计划曾经不能满足云计算、微服务、容器化等简单环境下API的平安需要。在分布式系统中,API调用者身份的认证和受权须要逾越多个服务边界进行验证,因而须要一个反对分布式场景的标识体系。
具体而言,分布式标识须要包含以下几个方面:

  • 全局唯一性:分布式标识必须是全局惟一的,这意味着每个申请都必须带有惟一标识以便于统计、审计和辨认。
  • 安全性:分布式标识必须是平安的,不可伪造的,以保障认证和受权的合法性。例如,应用OAuth 2.0协定能够通过令牌机制提供平安的认证和受权服务。
  • 可扩展性:分布式标识必须是可扩大的,在零碎规模扩充的状况下,它可能无缝地融入到整个零碎中,以满足业务需要。

    身份调配在实践中存在一些挑战,其中包含:
  • 简单的身份治理:身份调配通常波及到简单的身份管理工作,例如用户帐号和角色定义、权限治理等。这些管理工作须要定期更新和保护,以确保零碎的安全性和完整性。
  • 身份认证难度:身份调配须要执行正确的身份认证,但不同类型的身份认证能够有不同的挑战。例如,基于口令的认证可能面临明码泄露或者强度有余等问题,而基于生物特色的认证可能面临误辨认和坑骗攻打等问题。
  • 信赖建设:身份调配须要建设各个系统间的信赖关系,并确保身份信息的传递是牢靠和平安的。这须要应用适合的加密措施以及牢靠的身份验证和受权协定。
  • 风险管理:身份调配面临一些危险,例如,身份被盗用、身份信息泄露、未经受权拜访等。因而,身份调配须要联合危险管理策略,采取多种安全措施来防备这些危险的呈现。
  • 互相兼容:在多个零碎或应用程序间实现身份共享和调配时,须要保障各零碎之间的互操作性和数据兼容性。这须要应用标准化身份协定和API接口,以确保不同零碎之间可能良好地交互和共享身份信息。
  • 散发标识的最佳实际:采纳身份和拜访治理(IAM)工具来治理身份:应用IAM工具能够帮忙您自动化身份调配和权限管制,从而提高效率和安全性。此外,IAM 工具还反对身份验证、多因素认证、网关和应用程序防火墙等性能。
  • 采纳平安标识协定:应用平安标识协定来增强对散发标识的安全性,例如OAuth2.0,OpenID Connect等。这些协定能够帮忙您确保散发的标识是牢靠、平安的,而不会泄露进来。
  • 推广最小化权限策略:在散发标识时,肯定要遵循最小化准则,只调配必须的权限,以缩小攻击面。这能够通过基于角色进行权限治理来实现,并应用多层次的安全策略确保散发的身份是具备限度的。
  • 应用公钥加密技术来爱护数据:应用公钥加密技术来加密和存储散发标识数据能够保障数据安全,使攻击者更难冲破和透露。
  • 实现审计与监控: 须要施行审计与监控解决方案来跟踪和记录身份和拜访治理流动,以便及时发现并回应安全事件和威逼。
  • 建设规范流程和标准:建设散发标识的流程和标准,包含身份验证、受权程序等,能够帮忙保障认证和受权的一致性和完整性。
    感激 APIsecurity.io 提供相干内容